[FT]巧妙化する北朝鮮のサイバー犯罪 標的は暗号資産The Big Read(上)

[FT]巧妙化する北朝鮮のサイバー犯罪 標的は暗号資産
The Big Read(上)
https://www.nikkei.com/article/DGXZQOCB152HC0V11C22A1000000/

『ベトナムのゲーム制作会社が開発した「アクシー・インフィニティ」は「ポケモン」のようなアニメのモンスターを育てたり交換したりして戦わせるゲームだ。成績によって「スムース・ラブ・ポーション」と呼ぶゲーム内デジタルトークン(電子証票)を稼ぐことができ、アクティブプレーヤーは一時100万人を超えていた。
北朝鮮のハッカー集団は3月、人気ゲーム「アクシー・インフィニティ」のシステムに侵入し、約6億2000万ドル相当の仮想通貨イーサを盗み出した=ロイター

だが今年3月、このゲームの仮想世界を支えるブロックチェーン(分散型台帳)のネットワークが北朝鮮のハッカー集団に襲われ、約6億2000万ドル相当の暗号資産(仮想通貨)イーサが盗まれた。

暗号資産の窃盗では過去最大規模となった同事件を検証した米連邦捜査局(FBI)は「北朝鮮の収益源になっているサイバー犯罪や暗号資産の窃盗などの不法行為を今後も摘発していく」と決意を示した。

今回の暗号資産強盗の成功を見ると、北朝鮮のサイバー犯罪がますます巧妙化していることが分かる。欧米の治安当局やサイバーセキュリティー企業は北朝鮮を中国、ロシア、イランと並ぶ世界の4大サイバー脅威国とみている。
盗んだ資金でミサイル開発や核実験
ニューバーガー米大統領副補佐官(サイバー・先端技術担当)は7月、北朝鮮が「ミサイル開発資金の3分の1をサイバー犯罪で稼いでいる」と述べた=ロイター

国際的な制裁の履行状況を監視している国連の専門家パネルによると、北朝鮮はサイバー犯罪活動で得た資金を弾道ミサイル開発や核実験に充てている。米国のアン・ニューバーガー大統領副補佐官(サイバー・先端技術担当)は7月、北朝鮮が「ミサイル開発資金の3分の1をサイバー犯罪で稼いでいる」と述べた。

ブロックチェーン分析の米チェイナリシスの試算では、北朝鮮は今年1~9月に分散型の暗号資産交換業者から約10億ドルを窃取した。

暗号資産交換大手の米FTXトレーディングが11日に突如破綻し、不透明、場当たり的な規制、投機的な熱狂といったデジタル資産市場の特徴が浮き彫りになった。北朝鮮の暗号資産窃盗の増加はこの市場への国際規制が十分機能していないことを裏付けている。

アクシー・インフィニティに対するハッキング攻撃の規模の大きさや巧妙さを見ると、北朝鮮による暗号資産への大規模サイバー攻撃に対して米国や同盟国がいかに無力かを露呈しているとアナリストは話す。

略奪された暗号資産のうち、回収できたのはわずか約3000万ドル。それも各国の法執行機関や暗号資産分析会社が手を組み、仮想通貨の匿名性を高めるために複数の所有者データを混ぜ合わせる「クリプト・ミキサー」や分散型交換所を介して盗まれた資金を追跡した結果だ。

アクシー・インフィニティへのサイバー攻撃以降、対策を講じた法執行機関が数少ない中で、米国は8月、こうしたミキシングサービスを提供する大手業者トルネード・キャッシュを制裁対象に指定した。米財務省によると、ハッカーは同社を通じて4億5000万ドル相当を超す仮想通貨を洗浄していた。

米国はその後、トルネード・キャッシュを制裁対象に再指定した。同社が北朝鮮ハッカーのサイバー攻撃に加担し、そこで調達した資金が北朝鮮の大量破壊兵器開発に使われたという。
規制緩く、状況は悪化の一途

この事件は暗号資産への規制が緩いがゆえに、ならず者国家や世界中の犯罪集団には仮想通貨窃取の好機になっていることも浮き彫りにした。専門家は今後10年間、状況は悪化の一途をたどる公算が大きいと警鐘を鳴らす。交換所の分散化がさらに進み、合法か違法かにかかわらずより多くの製品やサービスが暗号資産で購入できるようになるからだ。

英国王立防衛安全保障研究所(RUSI)金融犯罪・セキュリティー研究センターのリサーチアナリスト、アリソン・オーウェン氏は「暗号資産業界の規制について必要なことが全くできていない」と話す。「各国は適正な措置を講じようとしているが、北朝鮮も制裁をかいくぐって独創的な方法を見つけようとするだろう」

北朝鮮がかつて依存したものの、はるか昔に崩壊したソ連と同様、北朝鮮の世襲体制も外貨獲得手段として様々な犯罪活動に手を染めてきた。

1970年代には、金正恩(キム・ジョンウン)総書記の祖父で当時最高指導者だった金日成(キム・イルソン)氏が後継者の息子、金正日(キム・ジョンイル)氏に対し、金一族による独裁体制を支えるための資金調達組織を朝鮮労働党内に立ち上げるよう命じた。

この組織は「39号室」と呼ばれ、偽造たばこや偽ドル札の製造・流通から違法薬物、鉱物、武器、希少動物の密売まで幅広い不法活動を通じて今や年間数十億ドルを稼ぎ出す。

政府関係者や外交官、スパイ、様々な工作員が自国の違法な地下経済を支えるために一人残らず動員されてきた。ダミー会社や金融機関、外国ブローカー、犯罪組織集団などが複雑なネットワークを形成し、国力を増強したり制裁を逃れたりするために今も活動を続けているのだ。

北朝鮮は80年代末から90年代初頭に核兵器開発に着手すると同時にサイバー技術を磨き始めたが、この数十年のサイバー能力の向上は驚異的だ。

脱北者らによれば、金正日氏はネットワークで結んだコンピューターの重要性に気づき、鎖国政策を維持しながら国外の政府幹部に指示を出すのに有効利用でき、核兵器や通常兵器開発を支えるプラットフォームにもなると考えた。
サイバー能力高めた金正恩氏
金正恩氏は2011年に権力を握ってから核兵器開発だけでなく、サイバー能力向上にも力を入れてきた=朝鮮中央通信・ロイター

北朝鮮軍が出版した書物には「インターネットが銃だとしたら、サイバー攻撃は原子爆弾のようなものだ」という金正日氏の言葉がある。だが、北朝鮮のサイバー能力に対する国際的な関心が高まったのは金正恩氏が2011年に権力を握ってからだ。

北朝鮮のインターネットは厳しく制限・監視されており、アクセスできるのは人口の1%未満なのに、ハッカー軍団の候補として約7000人の学生がリストアップされている。見込みのある学生はエリート政府機関で養成され、一部は中国など海外でも訓練を重ねる。

「若い時期にサイバー技術で頭角を現した学生を訓練して世界各地へ送り込み、現地の組織や社会、文化に根付かせている」。チェイナリシスの調査担当バイスプレジデント、エリン・プラント氏はこう話した。「アジア太平洋の全域にこうしたハッカー組織が存在し、地域のハイテク業界に浸透している」

14年、金正恩氏に対する架空の暗殺計画を描いたハリウッドのコメディー映画「ザ・インタビュー」の公開を目前に、北朝鮮のハッカー集団が米ソニー・ピクチャーズエンタテインメントに攻撃を仕掛けた。同社のコンピューターネットワークが遮断され、その後、同社幹部には機密扱いの厄介な社内文書の公開をほのめかす脅迫文が送られた。

16年にはバングラデシュの中央銀行が攻撃を受けた。アクシー・インフィニティへの攻撃に関与した北朝鮮のハッカー集団「ラザルス」のメンバーが中銀のコンピューターネットワークに侵入しシステム内に1年間とどまった後、中銀が米ニューヨーク連銀に保有する口座から準備金9億5100万ドルを不正に引き出した。

この資金はフィリピンの銀行に送金されたが、送金を指示する文書の1つに制裁対象のイラン船の船名と同じ言葉が含まれていたことを米当局が突き止め、事件が発覚した。結局、ハッカー集団が手に入れたのは略奪した資金の10%以下にとどまった。
DDoS攻撃からランサムウエア攻撃へ
14年12月、金正恩氏に対する架空の暗殺計画を描いたハリウッドのコメディー映画「ザ・インタビュー」の公開を目前に、北朝鮮のハッカー集団は米ソニー・ピクチャーズエンタテインメントに攻撃を仕掛けた=ロイター

北朝鮮ハッカーは「ランサムウエア」(身代金要求型ウイルス)攻撃で各地に混乱を引き起こすなど、攻撃力の高さも見せつけてきた。17年にはラザルスが「WannaCry(ワナクライ)」を使って世界中の病院、石油会社、銀行などが保有するサーバーに攻撃を仕掛け、少なくとも20万台のコンピューターに感染を広げた。

アクシー・インフィニティのゲーム上の暗号資産取引は「ローニンネットワーク」によってサポートされていた。様々なブロックチェーンを結びつける「クロスチェーンブリッジ」と呼ばれるプラットフォームを使っており、セキュリティーレベルは高いはずだった。だが、ハッカーは重要情報が保管されている9つの「秘密鍵」のうち5つを手に入れて過半数のコンセンサスを得た後、自ら望む取引を承認し、資金を流出させた。

ソウルの情報サービス会社NKプロのサイバーセキュリティー専門家、ニルス・バイゼンジー氏によると、アクシー・インフィニティへのハッキング成功によって北朝鮮ハッカーは「最新のブロックチェーン技術が登場するのとほぼ同時に、新たな脆弱性を見つけて攻撃できる」ことを見せつけた。

「北朝鮮ハッカーはほんの数年前まで、被害者のサーバーに大量のデータを送りつけて通信障害を引き起こす『DDoS』攻撃という比較的単純な手法を多用していた」と同氏は話す。「だが、DDoS攻撃が誰かを野球のバットで殴るという単純な振る舞いだったとすれば、ローニンやホライゾンといったクロスチェーンブリッジに対する攻撃の成功は身につけている本人さえ気付かないポケットの穴から財布を盗めるようになったことを示している」

(下に続く)

By Christian Davies and Scott Chipolina

(2022年11月14日付 英フィナンシャル・タイムズ電子版 https://www.ft.com/)

(c) The Financial Times Limited 2022. All Rights Reserved. The Nikkei Inc. is solely responsible for providing this translated content and The Financial Times Limited does not accept any liability for the accuracy or quality of the translation. 』

https://nkis.nikkei.com/pub_click/174/B0Yi8xBPH_QrqvLjZjGMcEmNZnSzaYM3kW6NsgHdWV0xYW-B3Tg0aIbU0T3h7tBVdlEpvhMd9A_PfYkNDP3bcCbzk8AnOb0aUOUgbFlIb_cS75tj229qXai06xE3Rn1fTnWDxPAEhO_M4h-aw4A3io4DEnLtPe-5xYOWv4O5nv7KvYnOooYpwq66hQrqDHQJsYq_vHz1YdBzRWcDdj_St9wjhIVD2vLLLp9eTBos7j5LunA9AA5kTxCnBfKJgobjMzH2fEIdB0-cLuZ4iSnSLS4V7JHWoEuMWmPFHFlbOCphOPkIf2rfzZHjakXg8g-O6qeo0KdAVfUqZWshMgUoa65jsW4XvKxWS3f6J3TYzyOA-8mbZtFnJQegKzoxoeQo2RPNXClJevH0Jrbt4BGW9A5ct2yaupXoCHUu33hyHUmXZahUdl0SD8E2dYn1A2yLW9K4QOIeBLJeaPdmzezyZUoUxV0Z1ocPGBPS2afAUF8r6wEA_SkVEBhN9hL2ew//113417/151711/https://www.nikkei.com/promotion/campaign/line_friend/?n_cid=DSPRM1DP01_2022linea 

突然ハッキングされた→11os快適

突然ハッキングされた→11os快適
http://1qazxsw2.cocolog-nifty.com/blog/

 ※ (一部、省略)

 ※ 『あるいは、私のように、3日6pm前に、pcが突然アラームを告げ、ハッキングされpcが使えなくなってしまったのか。

画面に電話されたしとある番号にかけてみると、たどたどしい日本語でインド人らしき名前を名乗る人物が、自分はマイクロソフト社の社員で社員証もある、奥さんのpcはハッキングされ修復が必要だという。

私が奥さんではないというと、それではどう呼べばよいのかと聞いてきたので、旦那さんと呼ぶよう指示した。

ー-

ところが、相変わらず奥さんと言ってくる。

彼の指示に従って操作すると、どうやらpcが完全に乗っ取られたようで、画面に相手の社員証が映し出された。

写真の男(本人ではないだろうが)はやはり、インド人ぽく見えた。

ー-

男は修理費が6万4千円だという、払えないと粘ると、5万円にしとくと下げてきた。

これは、もうハッカー本人であり、相手をしているだけ無駄だと、ルーターからケーブルを抜いて、ネットから離れた。

pcをシャットダウンしようとするとソフトが残っていますがシャットダウンしますかと聞いてきたので強制終了した。

ー-

やはりウインドウズ8.1osは、セキュリティが弱かったようだ、マカフィーを入れていたのに、ハッキングされてしまった。

ー-

後で調べると、eo光から有料でマカフィーを買って使っていたのに、うまく導入できていなかった。

このpcは、もう10年以上も使っており、8.1osはセキュリティも脆弱だとされ、アフターサービスも来年には終了するので、11osに変えようとしたがスペックが足らなかった、それで買い替えようと思っていたところだった。

もう外は暗かったがすぐにジョーシンに買いに行った。

ー-

デスクトップ型は、種類が限られており、ちょうど割引期間中であったが、安い機種はすべて売れていた。

それで結局SSD2Tのハイスペックのものを5千円引きで買うことになった。

帰宅後すぐにセットアップ、すると実に快適で、すぐに立ち上がる、早く買い替えておけばよかったと思っている。

ひょっとすると、ソロさんもpcが使えなくなったのではないかと心配しています。』

中国ハッカー集団、台湾へ大規模な攻撃

中国ハッカー集団、台湾へ大規模な攻撃 「中国製設備の使用が原因」
https://www.epochtimes.jp/2022/08/113160.html

『米国のナンシー・ペロシ下院議長が2日夜、台湾に到着して以降、台湾の公的機関を標的とするサイバー攻撃が多発している。中国の報復措置とみられる。いっぽう、この影響で通信障害が起きたシステムでは、中国製通信機器やソフトウェアが使われていることがわかった。

台湾政府のウェブサイトや高速鉄道の駅、空港、一部のコンビニエンスストアのネットワークが標的にされた。(※ 無料は、ここまで。)』

なぜ露は大規模サイバー攻撃やGPS妨害をしないのか?

なぜ露は大規模サイバー攻撃やGPS妨害をしないのか?:東京の郊外より・・・:SSブログ
https://holyland.blog.ss-blog.jp/2022-07-23

『 露のウクライナ侵略で西側が予期し恐れていたが未だに・・・
ウクライナを支援する国への報復攻撃を懸念していたが
米国の専門家も様々に憶測中・・・

cyberattack4.jpg

7月21日と22日付Defense-Newsは、ウクライナ侵略に関連し西側が予期し恐れていた、露によるウクライナやウクライナ支援国に対する大規模サイバー攻撃やGPS妨害が未だ確認されていないことに関し、米国専門家の見方を紹介しています

「なぜロシアは大規模サイバー攻撃やGPS妨害を行わないのか?」との疑問に対する西側専門家の結論は出ておらず、様々に専門家が仮説を出している段階ですが、いろいろ頭の体操になりますのでご紹介します。大規模サイバー攻撃関連の「なぜ?」に関しては浅い議論ですが、GPS妨害に対しては具体的仮説が提起されています

露はなぜ大規模サイバー攻撃をしていない?(21日付記事)
cyberattack2.jpg

●ウクライナ侵略開始直前の2月24日から、ウクライナ軍民両方に高速大容量衛星通信サービスを提供していた「Viasat」へ大規模サイバー攻撃が行われ、露によるウクライナの国家指揮統制混乱を意図したものだったと分析されているが、西側が恐れていた米国やNATO諸国の電力網や社会インフラに関する大規模サイバー攻撃は確認されていない

●20日Anne Neubergerサイバー担当米大統領副補佐官は、3月にバイデン大統領が、ロシアが「かなり影響が大きいと予期される」大規模なサイバー攻撃を準備しつつあると警鐘を発したが、そのような動きは当時から情報分析やサイバー専門家の間で詳細にフォローされており、現在も同様の状態であることを示唆した
Neuberger.jpg

●また米サイバーコマンドは、ウクライナの隣国リトアニアに米軍チームを3か月間派遣し、ロシアによる大規模サイバー攻撃に備えた準備に取り組み、そこで得られた教訓をNATO全体の能力強化のためNATO諸国に提供したりしていると説明し、露のサイバー能力に警戒を緩めていない

●同副補佐官は露のサイバー攻撃が本格化しない理由について、「2021年5月の米国内石油パイプラインColonial Pipelineへのサイバー攻撃時に、バイデン大統領がプーチンと会談して米国の覚悟を伝えたことでロシアを抑止できていると考える見方や、ウクライナや西側同盟国が協力してサイバー攻撃対処体制を強化したことが功を奏した主張する者もいる。一方で全く理由がわからないと考える者も多い」と述べた

●そして、前職がNSAサイバー対処責任者だった同副補佐官は現時点での結論として、「議論は続いている」と語った

なぜ露は大規模GPS妨害を行っていない?(22日付)
GPS jamming.jpg

2021年11月にロシアが衛星破壊兵器実験を行い、プーチンの代弁者と言われる露TV解説者が「ロシアは全てのGPS衛星を無効化することができる」と同実験を解説して世界を緊張させたが、ウクライナ侵略が始まって以降、世界の専門家が予期していたような攻撃を露は見せていない。

この理由について、米大統領へのPNT(Positioning, Navigation and Timing)諮問会議のメンバーであるDana A. Goward氏は、以下のような様々な推測が存在すると寄稿している

●露のGPS妨害能力は本当は大したことない?

Goward PNT2.jpg

・この見方も存在するが、多くの専門家は支持していない。例えばロシアは北部ノルウェー国境付近に、露国内の離れた場所から、非常に強力なGPS妨害を正確に繰り返し行っており、米GPSと極めて近い周波数を利用するGLONASS(ロシア版GPS)への影響なくGPS妨害を実施可能な能力の高さを証明しているからである

・この他、モスクワや黒海沿岸地域で、たびたびGPSが機能しなかったり誤位置を表示する状況が外国政府関係者や専門家により確認されているなど、ロシアのGPS妨害能力の高さを示す事例には事欠かない

●露軍もGPSを頼りにしている?

GPS jamming2.jpg

・ウクライナで撃墜されたロシア軍機内で簡易GPS表示装置が発見されていること、GLONASS(ロシア版GPS)の端末が大型で使いづらいこと、前線部隊への普及が不十分なこと等から、露軍もかなり米国GPSに依存しているのではないかと推測されており、このため本格的GPS妨害を避けている可能性がある

・また、ウクライナが通信・インターネット・電力網等々の社会インフラの重要部分でGPSに依存しており、仮にGPS妨害を本格化すると、侵攻したロシア軍のウクライナ国内での活動や地域支配が困難になるため妨害を控えている可能性もある

●将来の対米・対NATO対決に備え妨害能力出し惜しみ?

Goward PNT.jpg

・露とウクライナでは圧倒的戦力差が存在し、基本的に露は全力を出す必要なくウクライナでの軍事目標を達成できるとの認識の下、ウクライナよりGPSへの依存度が高い米軍やNATO軍に対し、ロシアは手の内を隠したのではないか・・・との見方がある

・ウクライナ軍は西側の支援を受け、GPSを活用する最新兵器も使用しているが、依然としてGPSに依存しない旧ソ連時代の旧式装備も多数保有しており、GPS妨害の効果が限定的との見方が露軍内にある可能性も指摘されている

●GPS妨害を行えば、妨害発信位置がすぐ暴露し攻撃を受けるから?

GPS妨害装置は強力な特定周波数を継続的に発信するため、敵から比較的容易に発見され攻撃を受けやすく、ロシア軍が必要性の高くないGPS妨害を控えた可能性もある

////////////////////////////////////////////

cyberattack.jpg

核保有国であるロシアが紛争当事国となっているウクライナ侵攻では、核抑止の威力が改めて強く認識され、米国もウクライナへ提供する兵器の選定に「手加減」せざるを得ない状況となっていますが、ロシアにも米国内の社会インフラに大規模サイバー攻撃を行えば「一線を越える」との認識がロシア側にあるのかもしれません

GPS妨害に関しても基礎知識が不足していますが、「対米・対NATO対決に備え出し惜しみ」と「露もGPSに依存」との理由から、ロシアが本格攻撃を控えているとの案をとりあえず支持させていただきます。

いずれにしても、非常に興味深い議論ですので、今後の展開や新情報の公開に期待したいと思います

ウ国でのサイバーや宇宙関連記事

「ウ侵略は衛星通信へのサイバー攻撃で開始」→https://holylandtokyo.com/2022/06/23/3365/
「ロシアに迅速対処したSpaceXに学べ」→https://holylandtokyo.com/2022/04/22/3173/
「ウクライナ侵略最初の一撃は宇宙で!?」→https://holylandtokyo.com/2022/02/18/2732/
「露の衛星兵器試験で国際宇宙S危険に」→https://holylandtokyo.com/2021/11/17/2435/

応援お願いします!ブログ「東京の郊外より」支援の会
https://community.camp-fire.jp/projects/view/258997

ブログサポーターご紹介ページ
https://holyland.blog.ss-blog.jp/2020-04-16-1

タグ:Dana A. Goward Anne Neuberger GPS jamming CyberAttack
2022-07-26 05:00 nice!(2) コメント(0) 』

[FT]中米コスタリカ 4月のランサム攻撃の後遺症

[FT]中米コスタリカ 4月のランサム攻撃の後遺症
https://www.nikkei.com/article/DGXZQOCB113CD0R10C22A7000000/

 ※ 今日は、こんなところで…。

『中米コスタリカ政府のデジタルガバナンスを統括するホルヘ・モラ氏は4月、部下の1人から報告を受けた。「(サイバー攻撃を)抑え込めませんでした。サーバーを暗号化されたため、全体を遮断しています」

コスタリカ政府へのサイバー攻撃に対し、チャベス大統領は緊急事態宣言を発動した=ロイター

悪名高いロシアのランサムウエア(身代金要求型ウイルス)の攻撃集団「Conti(コンティ)」による大規模なサイバー攻撃について、モラ氏は状況の最新報告を受けているさなかだった。攻撃は財務省から始まって連鎖的に広がっていき、最終的に数週間で27の政府機関が巻き込まれた。

政府のセキュリティーリスクが浮き彫りに

「規模の点で目を見張るような攻撃」(ある西側当局者)だった。ハッカーは通常、単一のシステムに不正アクセスするが、コスタリカのケースは国のIT(情報技術)インフラ全体のセキュリティーが弱い場合のリスクを浮き彫りにした。コンティは数週間、あるいは数カ月かけて、1つの省から別の省へと移りながら政府のシステム内を掘り進んでいた。

コンティ側は、最高2000万ドル(約27億円)の支払いと引き換えにデータを返すと持ちかけた。だが、コスタリカ政府は身代金の支払いを拒否した。新大統領に就任したロドリゴ・チャベス氏は緊急事態宣言を発動し、「裏切り者」さがしに乗り出すとともに、米国やスペインなどITに強い同盟国の支援に頼った。

「我々は戦争のさなかにある。これは誇張ではない」。5月半ばの大統領就任の数日後、チャベス氏はこのように述べ、テロに匹敵する混乱の全容を隠していたとして前政権を非難した。

コンティとのにらみ合いが続く中、コスタリカのデジタルインフラは数カ月にわたって部分的にまひし、オンライン徴税ができなくなったほか、公共医療と公務員の給与支払いに混乱が生じた。

その一方でコンティ側も、ウクライナ紛争で火がついたハッカー界の地政学的対立が波及して立ち行かなくなった。コンティが2月24日のロシアによるウクライナ侵攻への支持を表明した後、ウクライナ人とされる雇われハッカーの1人が裏切り、報復行為としてツールキットや内部のチャットなど秘密情報をインターネット上に流出させた。

英サイバーセキュリティー会社ダークトレースで脅威の分析を統括するトビー・ルイス氏によると、コスタリカがサイバー攻撃による影響への対処を続ける一方、コンティの大部分は情報流出後に瓦解したという。

ロシアのウクライナ侵攻で消えた攻撃集団

「2022年初めの時点では、今年もコンティのような集団が跋扈(ばっこ)してかなりの金を稼ぐ1年になる見通しだった」とルイス氏は言う。「それがロシアのウクライナ侵攻で全て終わった。ビジネス的に見て、ロシアを支持したのは最悪の判断だった」

コンティの過去最大規模の攻撃は、その最後の攻撃となった。セキュリティー調査専門家らによると、コンティがコスタリカなどの被害者をあざ笑っていたホームページと、(匿名性の高い闇サイト群の)ダークウェブ上にあった交渉サイトは6月末までに閉鎖された。

攻撃が広がっていく中で、モラ氏のチームはハッキングが他の政府機関に広がるのを遅らせるためにほぼ1カ月の間、毎日4時間睡眠で対応にあたったと同氏は語る。スペインからは、同国の国立暗号化技術センターが開発したランサムウエア対策用の保護ソフトウエア「マイクロクローディア」が届けられた。

米国は支援チームを派遣するとともに、マイクロソフトやIBM、シスコシステムズのソフトやノウハウを提供した。米国務省はコンティやその支援者を裁きにかけるべく、最高1500万ドルの賞金を出すと発表した。

モラ氏は、攻撃後の自分たちの懸命な努力と協力がなければ「財務省と同様の攻撃が50件起きていたはずだ」として、チャベス氏の批判を退けた。

ITシステム復旧はさらに複雑な状況に

だが、コンティが崩壊したことでコスタリカのITシステムの復旧努力は一層複雑な状況となっていた。捜査状況について説明を受けた西側のある当局者は、2000万ドルから100万ドルの間で揺れ動いた身代金の支払いにチャベス氏が応じていたとしても、「向こう側に誰がいたのか定かではない。6月までに、いわば誰も電話に出ない状態になっていた」と語る。

イスラエル企業サイバーイントのセキュリティー研究者シュムエル・ギホン氏は、「コンティはコスタリカで名を残そうと最後の必死の試みに出たような状況だった。なんとか評判を得ようとしていた」と語る。

これまでコンティは推計約400人のハッカーに加え、ツールキットを貸す不特定多数の協力者がいるとされ、21年には少なくとも600の標的から合計数億ドルの暗号資産(仮想通貨)を得ていたが、コスタリカへの攻撃から数週間で人員はたちまち数十人まで減った。
だが、別の形で再編成している形跡もある。その1つは、勃興から数カ月間で50の組織をサイバー攻撃した「BlackBasta(ブラックバスタ)」と呼ばれる集団だ。セキュリティー専門家らは、その攻撃スピードから、コンティから離脱した要員が攻撃対象のITインフラに関する情報を持ってブラックバスタに流れているようだとみている。

一方、コスタリカは4月のサイバー攻撃による影響への対処を続けている。ランサムウエア攻撃が成功した場合は全てそうであるように、ハッカー側から鍵をもらう以外にデータの暗号化を解除する方法はなく、ほとんどのシステムは、ウイルスに感染していないことを確認したバックアップデータで最初から作り直さなければならない。このプロセスは数カ月、場合によっては1、2年かかる可能性もある。

紙とメールでの作業を余儀なくされた通関業務

先ごろまでコスタリカは通関業務を紙と電子メールに頼らざるを得ず、全体に遅滞が生じていたと話すのは、輸出入関連サービスを提供する企業グルポ・デサカルガのモニカ・セグニニ社長だ。

「これはつまり、何年も使われていなかった保管スペースにコンテナが何日も滞留し、追加の費用を払わなければならないということだ」。そう説明するセグニニ氏の会社は法人税を自主的に納付しているが、管理されていない状態だという。「私たちはグレーゾーンで活動している」

政府高官は、通関や給与支払いを含めて、現時点で財務省のシステムの多くは復旧していると話した。

認知症にかかっているアレハンドラさん(65)の夫がインタビューで語ったところでは、コスタリカ国民への医療も滞っている。アレハンドラさんの場合は医師らが磁気共鳴画像装置(MRI)による以前の画像にアクセスできず、可能になるまで待たなければならないという。

理科の教師で低所得地区にある技術専門学校のアドバイザーを務めるスルマ・モンヘさんは、システムが時間外勤務を処理できなくなっているために給料が40万コロン(約8万円)少なくなっているという。

モンヘさんは貯金を取り崩して2人の子供の学費と、2つ目の学位取得を目指す自分の授業料を支払っている。「こんなことは今までなかった。遅れている給料がいつ支払われるのか、(財務省は)私たちに答えを示していない」

アルバラド・ブリセーニョ科学技術・通信相は、サイバー攻撃の再発防止に向けた取り組みも全て順調であるわけではないことを認める。

「Hive(ハイブ)」と呼ばれるハッカー集団は、コスタリカの社会保障サービスにサイバー攻撃を仕掛けた。スペインから供与されたセキュリティーソフトは2万セットのうち13セットしか実装されていない。

「大統領は不安を隠さず、非常にいらだっていた。我々はすでに攻撃を阻止するツールを少なくともいくつか入手し、攻撃は起きなかった」とアルバラド・ブリセーニョ氏は語った。「我が国はこれまで、この問題を必要なレベルで重大に受け止めていなかった。学んだ教訓は何か? 全ての機関に必要なサイバーセキュリティーを完備する出費を惜しむなということだ」

By Christine Murray & Mehul Srivastava

(2022年7月9日付 英フィナンシャル・タイムズ電子版 https://www.ft.com/)

(c) The Financial Times Limited 2022. All Rights Reserved. The Nikkei Inc. is solely responsible for providing this translated content and The Financial Times Limited does not accept any liability for the accuracy or quality of the translation.』

米がサイバー攻撃実施 対ロシアか、ウクライナを支援

米がサイバー攻撃実施 対ロシアか、ウクライナを支援
https://www.nikkei.com/article/DGXZQOCB023AS0S2A600C2000000/

『【ワシントン=共同】英スカイニューズ・テレビは1日、米サイバー軍のナカソネ司令官が、ウクライナ支援のためにサイバー攻撃を実施したことを明らかにしたと報じた。ロシアに対して行ったとみられる。同テレビによると、米国がウクライナ支援のためのサイバー攻撃実施を認めるのは初めて。

【関連記事】ロシアの情報保全「破綻」 サイバー攻撃集団を活用か

ジャンピエール米大統領報道官は1日の記者会見で、ロシアに対するサイバー攻撃は、ロシアとの直接的な衝突を避ける米政権の方針に反するものではないとの認識を示した。

ナカソネ氏は、活動の詳細は明かさなかったが「攻撃的、防衛的、情報的なあらゆる領域で一連の作戦を実施した」と述べた。また米国防総省の決定に基づく政策で、完全な文民統制の下、合法的に実施されたと強調。米国を標的とするロシアのサイバー攻撃のリスクを毎日懸念していると語った。

【関連記事】
・米、新ロケット砲供与決定 ウクライナ防衛のみに使用
・ドイツ、ウクライナに防空システム提供 首相が発言 』

北朝鮮ハッカーに機密提供 韓国陸軍大尉を起訴

北朝鮮ハッカーに機密提供 韓国陸軍大尉を起訴
https://www.nikkei.com/article/DGXZQOCB27ART0X20C22A5000000/

 ※ 『ボリスは違法サイバー賭博の運営を通じ韓国の現役軍人らをスパイに仕立て、情報収集する任務を担っていた。』とか、いかにもな話しだ…。

 ※ ターゲットを「スパイ」に仕立てる手口は、

 相手の信頼を勝ち取り、「親密」な関係になる → 相手の「弱点」を、探り出す → (大体の人間の弱点は、カネ・オンナ(男性の場合)・快楽 のいずれかが多い)→ 弱点を突いて、「弱みを握る」(カネ:ワイロ(または、ワイロまがいの利権)を送り、その証拠を取得する オンナ:美女を近づけて、密会の現場を撮影しておく 快楽:違法カジノに引きずり込み、証拠を握っておく 違法薬物に誘い込み、薬物漬けにする)→ 握っておいた、証拠を突きつけて、のっぴきならない立場に追い込む…。

 ※ これをやられて落ちないケースは、稀と言うぞ…。

 ※ ご用心、ご用心…。

『【ソウル=時事】韓国国防省の検察部が、北朝鮮のハッカーに機密情報を提供したとして、国家保安法違反で現役の陸軍特殊部隊の大尉を4月に逮捕・起訴していたことが分かった。与党議員が27日、入手した起訴状を明らかにした。

起訴状によると、大尉は昨年9月ごろ、大学時代の同級生から北朝鮮の工作機関、軍偵察総局傘下のハッカー「ボリス」を紹介された。ボリスは違法サイバー賭博の運営を通じ韓国の現役軍人らをスパイに仕立て、情報収集する任務を担っていた。

大尉は違法賭博などで金に困っていたことからボリスの要求に応じ、昨年11月から今年3月にかけ、所属していた地域隊の作戦計画など機密情報を提供。ハッキングしようとするボリスの指示を受け、陸軍ホームページのログイン画面の写真や軍の指揮統制システムのコンピューター立ち上げの映像も送った。大尉は代価や激励金などの名目で、計約4800万ウォン(約490万円)相当の仮想通貨を受け取った。

ボリスは「中国に住む朝鮮族ブローカー」と名乗り、通信アプリ「テレグラム」を通じてやりとりしていた。』

コンティ、崩れた一枚岩 進化するサイバー攻撃に備えを

コンティ、崩れた一枚岩 進化するサイバー攻撃に備えを
サイバーカオス 解明コンティ・識者に聞く①
https://www.nikkei.com/article/DGXZQOUC16CAU0W2A510C2000000/

 ※ 『「ウクライナ人、または同国に親和的な内部メンバーが一定以上おり、反発の強さは幹部陣にも想定外だったとみられる。それでも反発はやまず、大規模な漏洩につながった」』…。

 ※ ということで、図らずもウクライナ事態が、内部亀裂を呼び、今回のデータ漏洩につながった…、という話しだ…。

 ※ 『「過去には攻撃ソフトを第三者に提供する『ランサムウエア・アズ・ア・サービス(RaaS)』の協力者が報酬に反発し、攻撃マニュアルを漏洩したこともあった。組織の大規模化や多国籍化に伴い、こうした内部分裂によるリークが増えることも予測される」』…。

 ※ 『ランサムウエア・アズ・ア・サービス(RaaS)』とか、イヤハヤ…な話しだ…。
 ※ ただ、そうなってくると、「報酬」の決め方で揉めることになる…。「金融」関係、「組織管理」関係の「貢献」は、「定量」的には決められないからな…。

 ※ これが、初期の「技術者集団」だったら、それこそ「書いたコードの行数」とかで、決まったりしてたんだろう…。

 ※ 基本、「ジョブ型」で行くとして、最後にはどうしても、「定性的な評価」の問題が残ってしまう…。

 ※ 日本企業が「苦しんでいる」のと、同じ構図だな…。

『日本経済新聞は世界最大級のサイバー攻撃集団「Conti(コンティ)」の漏洩データから知られざる活動実態を分析した。ランサムウエア(身代金要求型ウイルス)で得た巨額の収益を元に、多様な人材を採用し組織を拡大し、各国の端末の脆弱性を標的としていることがわかった。ロシア政府とのつながりも垣間見えた。データから読み取れる活動や脅威について識者に聞いた。

初回は三井物産セキュアディレクション(東京・中央)の吉川孝志上級マルウェア解析技術者に、コンティの漏洩データの分析を聞いた。

――コンティからチャット履歴などが漏洩したのはなぜですか。

「コンティ幹部が内部の結束力を見誤ったのが原因だ。ウクライナ侵攻でコンティがロシアを支持する声明を出したが、当初は『ロシア政府を全面的に支持する』と強いメッセージだった。だが、『我々はいかなる政府とも手を結んでいない』とすぐに書き換えられた」
三井物産セキュアディレクションの吉川孝志上級マルウェア解析技術者

「ウクライナ人、または同国に親和的な内部メンバーが一定以上おり、反発の強さは幹部陣にも想定外だったとみられる。それでも反発はやまず、大規模な漏洩につながった」

――チャットから何を読み解けますか。

「組織図や攻撃計画、各メンバーの情報に加え、休日申請が認められたと喜び合う投稿など一般企業さながらのコミュニケーションも見て取れる。参加メンバー同士の意見が衝突して『部署』の異動を求めたり、下位メンバーが上司の不満を漏らしたりと、コンティが必ずしも一枚岩ではないことも分かった。膨張した半面、幹部陣が組織全体を制御しきれていない実態も浮き彫りになった」

――コンティの活動は今後どうなりますか。

「チャットの漏洩直後にはメンバー同士で混乱し、疑心暗鬼になっている会話もみられた。マルウエアのソースコード(設計図)が流出したのが大きい。攻撃グループにとって最も貴重な機密の一つであるためだ」

「別の大手集団がコンティの人材を雇う動きもあった。その後は淡々と新たな被害組織への声明を更新し続けている。高度に組織化された攻撃集団のしぶとさを示している」

――今回の漏洩はサイバー脅威情勢にどう影響しますか。

「過去には攻撃ソフトを第三者に提供する『ランサムウエア・アズ・ア・サービス(RaaS)』の協力者が報酬に反発し、攻撃マニュアルを漏洩したこともあった。組織の大規模化や多国籍化に伴い、こうした内部分裂によるリークが増えることも予測される」

「ただ大手のランサム集団が停止しても、後継の集団や一部メンバーによる新たな集団が生まれるのが常だ。研究と分析を続け、進化し続ける攻撃手法への備えが求められる」

(聞き手はサイバーセキュリティーエディター 岩沢明信)

吉川孝志(よしかわ・たかし) マルウエアの検知技術に関する米国および国内の特許を複数発明。サイバー犯罪の摘発や被害の未然予防など警察機関への協力も行っている。主にマルウエアに関する解析や情報発信を中心に活動

【サイバーカオス 解明コンティ関連記事】
・世界最大級サイバー攻撃集団 「身代金」で100億円奪取
・まるで会社、渉外・調査部も 仮想組織でサイバー攻撃
・報酬月2000ドル・週休2日…サイバー攻撃人材の獲得実態
・ランサムウエア標的、日本2万台 脆弱性対応世界に後れ
・サイバー攻撃の「パナマ文書」、ロシア政府との関係示唆 』

サイバー攻撃の「パナマ文書」、ロシア政府との関係示唆

サイバー攻撃の「パナマ文書」、ロシア政府との関係示唆
サイバーカオス 解明コンティ(下)
https://www.nikkei.com/article/DGXZQOUC102W00Q2A510C2000000/

『世界最大のランサムウエア(身代金要求型ウイルス)犯罪集団「コンティ」から流出した記録は、不明瞭だったロシア政府との関係を示唆する重要な資料だ。ロシア連邦保安局(FSB)とコンティの関連も疑われている。ウクライナ侵攻を契機に政府の手駒として西側への攻勢を強めていくと専門家は見ている。

「これはランサムウエアのパナマ文書だ」

米セキュリティー大手トレリックスのジョン・フォッカー・プリンシパルエンジニアは、コンティの流出資料を租税回避地(タックスヘイブン)の実態をつまびらかにした文書になぞらえる。「我々セキュリティー研究者が長い間疑っていたロシア政府とランサム集団の関係をクリアにした」

2021年、米国で社会インフラへのランサム攻撃が相次ぎ、経済活動が混乱した。米国はロシア政府が国内のランサム集団を放置していると批判したが、政府とランサム集団のつながりまでは指摘しなかった。ランサム集団も攻撃に政治的意図はないと主張してきた。しかし、流出資料は二者の関係に光を当てた。

「(攻撃が成功すれば)クレムリン(ロシア大統領府)で報酬をもらえる」。米金融会社への攻撃に対しコンティ幹部「Target(ターゲット)」は語っている。標的選定にロシア政府の意向を意識していることがうかがえる発言は多い。

「くそったれ。ばか野郎」。チャット内でターゲットは口汚い言葉で怒りをぶちまけた。標的リストにロシア企業が入っていたためだ。ロシアに不利になる攻撃を避けているようだ。

コンティとの関係が特に疑われるのがFSBだ。FSBはロシアの反政府指導者アレクセイ・ナワリヌイ氏の毒殺未遂事件に関与したと米英政府が指摘している。

別のコンティ幹部「Mango(マンゴー)」と「Professor(プロフェッサー)」は、事件とFSBの関連を調べていた英調査報道機関ベリングキャットへサイバー攻撃を仕掛け、事件の関連ファイルを盗もうとしていたことがチャットから見て取れる。
クレムリン(大統領府)から褒賞を受け取る可能性に言及するチャット(一部画像を加工)

政府とサイバー攻撃集団の関係には二面性がある。22年1月、ロシア政府は大手ランサム集団「レビル」のメンバーを逮捕したと発表し、米国政府はロシア政府を称賛した。サイバーディフェンス研究所の名和利男専務理事は「ランサム集団はロシア当局の駒だ」と話す。仮想敵国への攻撃に利用される一方、外交の手札として経済制裁の回避のため切り捨てられることもある。

ロシアの劣勢が強まれば犯罪集団の活動が過激になる可能性がある。米セキュリティー会社コーブウエアはランサム攻撃に関わる犯罪者は世界で最大1000人程度と推定する。ロシアの失業率が戦前の1.5倍程度まで膨らめば、職を失ったセキュリティー技術者がサイバー攻撃に加わり、「犯罪集団の人材が2倍になるというシナリオもありうる」としている。

14年のロシアのクリミア侵攻時と比べ、今回は西側諸国の支援などでロシアからウクライナへのサイバー攻撃は当時ほど成果を上げていない。急激に進むサイバー空間の混沌(カオス)が、世界を揺さぶっている。

【サイバーカオス 解明コンティ関連記事】
・世界最大級サイバー攻撃集団 「身代金」で100億円奪取
・まるで会社、渉外・調査部も 仮想組織でサイバー攻撃
・報酬月2000ドル・週休2日…サイバー攻撃人材の獲得実態
・ランサムウエア標的、日本2万台 脆弱性対応世界に後れ 』

コスタリカで緊急事態宣言 政府機関にサイバー攻撃で

コスタリカで緊急事態宣言 政府機関にサイバー攻撃で
https://www.nikkei.com/article/DGXZQOGN130E00T10C22A5000000/

『【メキシコシティ=清水孝輔】コスタリカの大統領府は12日までに、身代金要求型ウイルス「ランサムウエア」に感染したのを受け、緊急事態宣言を発動した。4月から財務省など複数の政府機関が攻撃を受けたという。今回の宣言を受け、サイバー攻撃への対策に十分な資金を充てられるようにする方針だ。

コスタリカは4月12日に財務省が攻撃を受け、オンライン納税などのシステムが使えなくなっている。そのほかにも科学技術・通信省や労働・社会保障省など複数の機関に影響が広がっている。「Conti(コンティ)」という攻撃者グループがコスタリカの政府機関から流出したとされる資料を公開したという。

コスタリカでは8日に中道右派のロドリゴ・チャベス前財務相が大統領に就任した。チャベス氏は複数の女性からセクハラで告発されるなど国民からは不信感もある。就任直前にサイバー攻撃を受け、新政権は対応を問われている。』

Apple、Google、Microsoftがパスワード不要認証の普及に連携と発表

Apple、Google、Microsoftがパスワード不要認証の普及に連携と発表
https://iphone-mania.jp/news-453563/

 ※ いよいよ、「パスワード管理地獄」から脱出できることになるのか…。

 ※ しかし、こういうものは「イタチごっこ」だからな…。

 ※ すぐに、「認証破り」の輩(やから)が、出現することだろう…。

 ※ SIMカードみたいなもの、USBメモリみたいなものを、「機器」に挿入すれば、「認証パスワード・データ」を吸い出すことができる「裏機材」とかが、出回るに決まっている…。

『Apple、Google、MicrosoftとFIDO Allianceは現地時間5月5日、パスワードを使用しない安全性の高いユーザー認証の普及に向けた取り組みを強化することを発表しました。新機能により、ユーザーはWebサイトやアプリを、安全・便利に利用することが可能になります。

2023年にかけて利用可能に

パスワードによるユーザー認証は、パスワードを個別に管理するのが煩雑になるため、パスワード使いまわしによるアカウント乗っ取りや個人情報盗難などのセキュリティリスクにつながっています。

Apple、Google、Microsoftなどのテクノロジー企業各社が加盟する非営利団体FIDO Allianceは、セキュリティと利便性を両立できる認証技術の確立に向けて取り組んでいます。

5月5日、Apple、Google、Microsoftの3社は、FIDO AllianceとWorld Wide Web Consortium(W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。

パスワードや、SMSによるワンタイムパスコードなど従来の二段階認証技術よりも安全性が大幅に高めることができます。

Apple、Google、Microsoftのプラットフォームで、これから2023年にかけて利用可能になる予定です。
OSやブラウザを問わずに認証可能

これまで、各社のデバイスはFIDO Allianceの技術標準に対応し、顔認証や指紋認証によりパスワード不要の認証を可能にしています。それでも、ユーザーはデバイスごとにWebサイトやアプリにサインインする必要がありました。

今後は、ユーザーが所有するデバイスでFIDO認証資格情報(パスキーとも呼ばれる)に自動的にアクセス可能にすることで、シームレスなパスワードレス認証が利用可能になります。

ユーザーは、デバイスのOSプラットフォームやブラウザに関係なく、iPhoneなど近くにあるモバイルデバイスでFIDO認証を使うことで、PCなどでアプリやWebサイトにサインインが可能になります。

FIDO

サービス提供側にもメリット

Webサイト管理者やアプリ開発者などサービス提供側は、パスワード情報を取得・管理することによるリスクを回避できるほか、アカウント復旧の手段としてパスワード不要のFIDO認証資格情報の提供が可能になります。

以下は、KDDIがFIDO認証技術を紹介した記事で、従来のユーザー認証方式とFIDO認証を比較した図解です。』

詐欺の技術、SNSで売買 中国から日本を標的か

詐欺の技術、SNSで売買 中国から日本を標的か
https://www.nikkei.com/article/DGXZQOUE051KV0V01C21A2000000/

 ※ オレのところのメールも、9割は「詐欺メール」だ…。

 ※ その中から、「本物」を拾いだして、「分類フォルダ」に「振り分け」する設定にしてある…。

 ※ そうすると、その「本物メール」が、どのフォルダに入ったのか分からなくなったりするんだよ…。

 ※ 昨日も、ある業者さんから、「メール送ったんですが?」「いや、ちょっと見当たらないですね。」というやり取りを、4回も「電話で」行った…。

 ※ 昨今は、「届け出事項」の変更なんかは、全て「オンラインで」行うような流れになっている。

 ※ 「メールのリンクを、たどってくださいね。なお、有効期間は24時間以内です。」とかおっしゃるんだが、その「メール」が探せないのでは、「お手上げ」だ…。

 ※ しかも、プロバイダーの会社自体も、「合併・分離」されるから、強制的に「アドレス」が変更されたりする…。

 ※ そうすると、その「届け出アドレス」の「変更手続き」を、強いられるのは、こっち…、と言うことになる…。

 ※ そういうことで、人生削られて行くんだよ…。

 ※ ヤレヤレだ…。

『偽サイトなどで個人情報を盗む「フィッシング詐欺」の深刻化が止まらない。2021年は確認件数が52万件と最多になり、標的となるクレジットカードの不正利用被害も過去最悪を更新した。背景に、日本人の個人情報から詐欺の技術までを手軽な金額で売買している中国語のSNS(交流サイト)がある。

「今からアカウントに侵入してみせます」。匿名性の高い対話アプリ「テレグラム」のあるチャットグループに投稿された動画をパソコンで再生すると、中国語で解説が始まった。

画面には日本のクレジットカード会社のログインページが表示され、フィッシングで盗まれたとみられる日本人大学生の名前やログインID、パスワードも映る。

投稿者は、発信元となるIPアドレスを偽装するソフトの使い方を紹介した後、大学生のアカウントに不正ログイン。「本人に利用通知が届かないように」などと説明しながら、メールアドレスや電話番号といった登録情報を瞬く間に変更した。
中国語のSNSで日本人を狙ったフィッシングの情報がやり取りされている=一部画像処理しています

最後にカードの利用上限額を勝手に引き上げたうえで、ショッピングサイトでボールペン1本(990円)を購入してみせた。

ネットバンキングの偽サイトを作る方法、不正の発覚の逃れ方――。テレグラムではこうしたフィッシングに関わるチャットが乱立している。調査するKesagataMe氏(ハンドルネーム)によると、100以上の中国語のチャットグループが確認でき「手軽に情報や盗む技術を入手できるマーケットが形成されている」。

通常、チャット内に金額の記載はない。セキュリティー事業を手がけるマクニカの協力を得てチャット管理者のひとりに聞くと、フィッシングに使うSMS(ショートメッセージサービス)を不特定多数に送る技術は「24時間あたり50元(約970円)で提供する」と中国語で回答があった。

偽サイトを作るためのソースコード(プログラム)は「1000元(約2万円)」程度とみられる。

匿名性の高い闇サイト群「ダークウェブ」などと異なり、誰でも参加できるSNSで、手軽な金額で技術や知識が手に入る。閲覧者が3万人規模のグループもあり、ターゲットの日本人のクレジットカードや銀行口座の情報が飛び交う。

国内の被害は拡大の一途だ。監視団体のフィッシング対策協議会(東京・中央)によると、21年の国内の報告件数は52万6504件と、過去最多だった20年(22万4676件)の2倍を超えた。

日本クレジット協会(同)によると、21年のクレジットカードの不正利用被害額は330億円。20年比で3割増え、調査を始めた1997年以降で最悪となった。フィッシングの深刻化が被害額を押し上げている。

なぜ日本が狙われるのか。捜査関係者は発信元などから中国を拠点とする犯罪グループが関与しているとみる。「日本は地理的に近く、盗んだ情報で不正に買い物をする場合、受け取り役も募集しやすい」という。

被害の根絶が難しい中、マクニカの鈴木一実氏は「まずは自衛策が欠かせない」と訴える。▽スマホに届いたSMSのサイトに安易にアクセスしない▽サイト運営者は不正ログインの検知精度を高める▽通信事業者はSMSの悪用を防ぐ技術や対策の導入を進める――など多方面で危機意識を共有する必要があると話す。

(柏木凌真、大倉寛人)

犯罪組織、進む分業 「受け子」リスト化し共有か

中国語のSNSでは、盗んだ情報をもとにネットで不正購入された商品を受け取り、転送する「受け子」の名前や住所もやり取りされている。

あるチャットグループには日本全国の住所リストが掲載され、受け子とみられる日本人や中国人の名前が並んでいた。ホワイトハッカーのCheena氏(ハンドルネーム)は「更新頻度が高く、日本国内に受け取り役を準備するブローカーや換金を担う業者がいる可能性が高い」と分析する。

警視庁が3月、詐欺の疑いで逮捕した中国人留学生2人は、何者かがフィッシングで購入したゲーム機などを受け取り、指示されたマンションに転送していた。調べに「中国の対話アプリ上の受け子バイトを募る広告がきっかけだった」と供述した。

犯罪グループはこうして集めた受け子をリスト化し共有しているとみられる。

こうした犯罪は指示役などグループの上位者が特定されることはほとんどない。捜査関係者は「指示役や換金役、受け子など犯罪組織は何層にも折り重なる複雑な構造で、全容解明は至難の業だ」と漏らす。犯罪の分業化が進み、捜査が追いついていない。』

「ダークサイド」の正体

「ダークサイド」の正体 3つの意味と4重の脅迫
https://www.nikkei.com/article/DGXZQOUC203IC0Q1A520C2000000/

 ※「4階層」に渡って、4回も脅迫されるのか…。

 ※ 全く、ヤレヤレかつウンザリだ…。

 ※ ただ、こう大規模になると、「国家をあげて」反撃されることになる…。

 ※ 「敵」、及び「反撃」も熾烈なものとなるだろう…。

『米石油パイプライン最大手のコロニアル・パイプラインは5月7日(米国時間)、サイバー攻撃により全ての業務が停止したと発表。米連邦捜査局(FBI)は10日(同)、「DarkSide(ダークサイド)」が原因だと発表した。

全米を震え上がらせたダークサイド。その正体は一体何なのか。

サイバー犯罪集団なのか
報道では「サイバー犯罪集団」や「ハッカー集団」の名称として伝えられているダークサイドだが、実際には3つの意味がある。その1つが、サイバー攻撃に使われる「ランサムウエア」の名称だ。

ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(悪意のあるプログラム)。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。

セキュリティー企業の米インテル471などによると、ダークサイドは2020年8月に初めて確認された。比較的新しいランサムウエアだ。オーストリアのエムシソフトなどによると、ダークサイドは身代金として20万ドルから200万ドルを暗号資産(仮想通貨)で要求する。

またダークサイドは、ダークサイドランサムウエアを使った攻撃を支援する「商用」のクラウドサービスを指す場合もある。ランサムウエア攻撃のクラウドサービスなので「RaaS(ランサムウエア・アズ・ア・サービス)」と呼ばれる。これが2番目の意味だ。

米ファイア・アイなどによれば、RaaSとしてのダークサイドは20年11月、ロシア語のアンダーグラウンドフォーラム「exploit.in」や「XSS」で初めて宣伝された。

RaaSを使用するのはもちろんサイバー攻撃者だ。ある企業ネットワークへの侵入方法を知った攻撃者が、ランサムウエア攻撃を仕掛けたいと考えたとする。しかし自分でランサムウエアを調達したり、脅迫したりするのはハードルが高い。そういった場合、RaaSを利用して該当企業にランサムウエア攻撃を仕掛ける。

RaaSを利用する攻撃者はアフィリエイトやアフィリエイターなどと呼ばれる。セキュリティー企業各社の情報によると、ダークサイドの取り分は身代金の10%から25%。ファイア・アイが確認した広告によると、身代金が50万ドル未満の場合は25%、500万ドルを超える身代金に対しては10%だ。

ファイア・アイによれば、アフィリエイトになるには「面接」に合格する必要がある。面接がどういったものなのかについては言及していない。合格すると、RaaSの管理パネルへのアクセス権が提供される。

ダークサイドRaaSの管理パネル(出所:ファイア・アイ)
3番目の意味が、ダークサイドRaaSを運営する攻撃者グループだ。多くの報道では、この意味で「ダークサイド」を使っているようだ。

これらを区別するために、ランサムウエアの「ダークサイドランサムウエア」、RaaSの「ダークサイドRaaS」、攻撃者グループの「ダークサイド攻撃者グループ」などと表記する場合がある。例えばFBIは声明の中で「ダークサイドランサムウエア」と表記している。

ちなみに20年11月に活動停止を表明したMAZE(メイズ)も、ランサムウエア、RaaS、攻撃者グループのそれぞれの意味で使われていた。

DDoS攻撃や脅迫電話の機能も
ほかのRaaSと同様に、ダークサイドRaaSも暴露型ランサムウエア攻撃(2重脅迫型ランサムウエア攻撃)に対応している。

まずはデータを盗み出してからランサムウエアで暗号化する。身代金を支払わないと復号ツールを渡さないばかりか、盗んだデータを公表すると脅す。公表の舞台となるのは、匿名性の高い闇サイト群「ダークウェブ」に用意したダークサイド攻撃者グループのウェブサイトだ。

だが、こうした通常のサービスだけではアフィリエイトを引き付けられない。ほかのクラウドサービスと同様に、RaaSも利用者を増やすのが最重要課題だ。そこでダークサイドRaaSは21年3月から4月にかけて機能を拡張した。

トレンドマイクロやインテル471などによれば、身代金の支払いに応じない企業に大量のデータを送りつけるDDoS攻撃の機能を追加した。

さらにコールセンターから脅迫電話をかける機能も実装した。ダークサイドRaaSの管理パネルから、身代金を支払うよう企業に圧力をかける電話を手配できるという。

つまり、4重の脅迫機能を備えるのだ。

「義賊」を気取る謎の寄付
今回の事件で広く知られたダークサイド攻撃者グループだが、20年10月にもメディアに取り上げられている。ランサムウエア攻撃で奪い取った金銭を2つの慈善団体に寄付したのだ。1万ドル相当のビットコインを寄付したとされる。

エムシソフトによるとこの寄付の後、ダークサイド攻撃者グループはウェブサイトに次のような投稿をした。「企業が支払った金銭の一部が慈善団体に寄付されるのは公平だと思う。私たちの仕事がどんなに悪いとしても、私たちが誰かの人生を変える手助けをしたことを知ってうれしく思う」

寄付された団体としてはいい迷惑だったようだ。当時の報道によれば、ある団体は寄付に対する謝辞をSNS(交流サイト)に投稿したが、ダークサイドの正体が分かるとすぐに削除した。

またダークサイド攻撃者グループが出した広告によると、攻撃対象は大企業だけで、医療機関、葬儀に関係する企業・組織、教育機関、公共部門、非営利団体などへは攻撃しないとしている。加えて攻撃対象を潰すことが目的ではないので、詳細に調査したうえで、攻撃対象が支払える額を請求するという。

義賊を気取るこの手口。前述のメイズを思い出した。メイズも新型コロナウイルス禍の医療機関は狙わないと宣言していた。

ダークサイドへの捜査はどうなるのか。今後の展開が注目される中、ダークサイド攻撃者グループは5月13日(米国時間)に活動を停止すると発表した。

それによると、ウェブサイトなどは全て押収されてアクセスできなくなり、資金は不明なアカウントに送信されてしまった。

突然の活動停止もメイズとそっくりだ。だがメイズもダークサイドも自分たちで言っているだけである。名前や体裁を変えて活動を再開する可能性は極めて高い。メイズの場合には既に再開しているとの情報もある。ランサムウエア攻撃に対しては引き続き警戒が必要だ。

(日経クロステック/日経NETWORK 勝村幸博)

[日経クロステック2021年5月19日付の記事を再構成]』

ランサムウエア、取り分不満の攻撃者が「虎の巻」流出

ランサムウエア、取り分不満の攻撃者が「虎の巻」流出
https://www.nikkei.com/article/DGXZQOUC263860W1A820C2000000/

 ※ 『「RaaS(ランサムウエア・アズ・ア・サービス)」』とか、ヤレヤレかつウンザリな話しだ…。

 ※ しかも、「取り分」巡る「なかま割れ」で、仲間の「攻撃虎の巻」を流出させたんだと…。

 ※ 全く、「仁義」も「信頼」も、へったくれも無い話しだ…。

 ※ まあ、最初から、そういう「人間性」とは「無縁」の、「修羅の世界」での話しなんだろうが…。

『世界中でランサムウエア(身代金要求型ウイルス)攻撃の被害が相次いでいる。理由の1つが「RaaS(ランサムウエア・アズ・ア・サービス)」の存在である。RaaSはランサムウエア攻撃を支援するクラウドサービス。RaaSを利用すれば、手間をかけずにランサムウエア攻撃を仕掛けられる。

2021年8月、このRaaSを巡ってある事件が発生した。大手RaaSが利用者に提供している攻撃マニュアルが流出したのだ。「虎の巻」といえる資料だ。ロシア語のアンダーグラウンドフォーラム「XSS.is」においてダウンロードできる状態になっていた。

RaaSの「虎の巻」へのリンクが張られた投稿。現在ではダウンロードできない(画像は一部修整 出所:XSS.is)

一体誰が、どのような理由で流出させたのだろうか。

RaaS、脅迫のプラットフォーム提供

ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(悪意のあるプログラム)の総称。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。

ランサムウエアのイメージ(出所:日経NETWORK)

数年前までは、ランサムウエア攻撃は単純だった。メールやネットワーク経由で不特定多数のコンピューターにランサムウエアを感染させていた。身代金は数万円程度と、個人でも払える額が設定されていた。いわば、薄く広く稼ぐ戦略だった。

ところが20年前後から戦略が大きく変わった。多額の身代金を支払える企業や組織を狙う標的型になった。データを暗号化されると業務を継続できなくなる。このため多額であっても身代金を支払うだろうと攻撃者は考えた。

これに対抗するため、バックアップの重要性が以前にも増して高まった。バックアップを取っていれば、データを暗号化されても復旧できる。ランサムウエア対策としてデータバックアップの体制を整えた組織は多いだろう。

そこで攻撃者が打った次の手がデータの窃取である。暗号化する前にデータを盗み出すのだ。身代金を払わないとデータの復号に必要なツールや情報を渡さないばかりか、そのデータを公開すると脅す。いわゆる暴露型ランサムウエア攻撃である。2重脅迫型ランサムウエア攻撃などとも呼ばれる。

ランサムウエア攻撃者グループ「MAZE(メイズ)」が窃取データを公開していたウェブサイト(画像は一部修整 出所:MAZE)

まずは盗んだデータの一部を公開して、身代金を払わないと全データを公表すると脅す手口もある。

大がかりになる一方のランサムウエア攻撃。もはや個人では実施できなくなっている。例えば、ある企業・組織のネットワークへの侵入方法を知っている攻撃者であっても、セキュリティー製品に検知されないランサムウエアや、窃取したデータを暴露する場を用意するのは容易ではない。

そこで登場したのがRaaSだ。RaaSはランサムウエアを単に貸し出すだけではなく、脅迫のプラットフォームも用意する。例えば、米石油パイプライン最大手のコロニアル・パイプラインの攻撃に使われたRaaSは4重の脅迫機能を備えていた。

【関連記事】「ダークサイド」の正体 3つの意味と4重の脅迫
具体的には、盗んだデータを公表する場や、データを暗号化するランサムウエアを利用者となる攻撃者に提供。さらに大量のデータを送信するDDoS攻撃を仕掛けたり、脅迫電話をかけたりする機能も提供する。

利用者は、RaaSが用意する管理パネルから様々な機能を利用できる。身代金の支払先もRaaSが用意する。このため身代金の支払い状況も管理パネルで確認できる。至れり尽くせりといえるだろう。

ランサムウエア攻撃者グループ「Darkside(ダークサイド)」が運営していたRaaSの管理パネル(出所:米ファイアアイ)

RaaSの利用者はアフィリエイトやアフィリエイターなどと呼ばれる。アフィリエイトが実際の攻撃を担当。RaaSはそのためのプラットフォームを提供する。

多くの場合、RaaSの料金は成功報酬型だ。RaaSは支払われた身代金の10%から30%を受け取り、残りはアフィリエイトが受け取る。

アフィリエイトとRaaSを運営するランサムウエア攻撃者グループは、ランサムウエア攻撃という犯罪の共犯者であり、両者にはある種の信頼関係が構築されているものと思っていた。

だが所詮犯罪者。信頼関係などないようだ。前段が長くなってしまったが、冒頭の虎の巻を流出させたのはアフィリエイトの1人だった。理由は身代金の取り分に対する不満だった。

「1500ドルしか支払わなかった」
RaaSを運営するランサムウエア攻撃者グループによっては、ネットワークへの侵入やネットワーク内での展開(ラテラルムーブメント)に関するマニュアル(虎の巻)をアフィリエイトに提供している。ランサムウエア攻撃の成功率を高めるためだ。

今回流出したのは、「Conti(コンティ)」というランサムウエア攻撃者グループが運営するRaaSの虎の巻だ。

虎の巻を流出させたアフィリエイトの投稿によると、Contiはアフィリエイトに1500ドルしか支払わなかったという。約束の金額がいくらだったのかは明記されていないが、書き込みの内容からすると大きな差があったとみられる。

アフィリエイトによる投稿(画像は一部修整 出所:XSS.is)

アフィリエイトは「やつらはアフィリエイトを『カモ』にしている」などとContiを罵るとともに、攻撃サーバーのIPアドレスなどが写り込んだ画像を公開。その後、虎の巻をストレージサービスにアップロードして、そのURLを投稿した。記事の冒頭で書いた通りである。

報道などによれば、流出したファイルは113メガバイトの圧縮ファイル(メディアによっては「111メガバイト」としている)。圧縮ファイルには37のファイルが含まれていて、それらにはネットワークへの侵入やラテラルムーブメントの際に有用なツールの使い方などが書かれているという。

内容のほとんどは以前から使われている基本的な手口で画期的ではないものの、Conti対策には役立つだろうというのが専門家の見立てだ。Contiとしては、戦術の一部を変更せざるを得ないだろう。

「Contiが約束を守らなかった」というのはアフィリエイトの一方的な主張だが、信ぴょう性は高い。このようなウソを言っても何の得にもならないからだ。「Contiが裏切ったからこちらも裏切る」と考えたとみるのが妥当だ。もはや仁義なき戦いである。

なかなか衝撃的な今回の事件。これによってアフィリエイトに対するランサムウエア攻撃者グループの態度は変わるだろうか。筆者としては変わってほしくない。アフィリエイトの怒りを募らせるようなことが続けば、アフィリエイトからの「密告」が期待できるからだ。

その受け皿の1つになり得るのが、米国務省が21年7月に発表した報奨金制度だ。同国の重要インフラを標的としたサイバー攻撃に限定されるが、有用な情報には最大1000万ドル(約11億円)の報奨金を支払う。

「怒ったアフィリエイトによる重要情報のリークにより、ランサムウエア攻撃者グループが特定されて壊滅させられる」というのが期待されるシナリオだ。

(日経クロステック/日経NETWORK 勝村幸博)

[日経クロステック2021年8月25日付の記事を再構成] 』

中国、米欧のサイバー攻撃非難に反発

中国、米欧のサイバー攻撃非難に反発 「政治目的で中傷」
https://www.nikkei.com/article/DGXZQOGM206KY0Q1A720C2000000/

『【北京=羽田野主】中国の趙立堅副報道局長は20日の記者会見で、米国や欧州、日本の各政府・機関が中国のサイバー攻撃を一斉に非難したことに反発した。「米国は中国を事実をゆがめて政治目的で中傷している」と述べた。「いかなる形式のサイバー攻撃にも反対する」と続け、関与を否定した。

欧州連合(EU)代表部や英国などにある大使館も20日、中国によるサイバー攻撃を非難した米英やEU、北大西洋条約機構(NATO)に「強烈な不満と断固たる反対」を表明した。中国は「被害国のひとつだ」と主張した。

中国はサイバー攻撃に反対の立場だと強調し、一部の西側国家が世界で無差別にサイバー攻撃を仕掛けて情報窃取などを行っていると批判した。中国もNATO加盟国などの標的になっていると強調し「悪意あるサイバー活動を取り締まる」よう関係国に求めた。

声明は在英国、カナダなどの中国大使館が一斉に発表した。

中国共産党系メディアの環球時報は20日付の社説で、「中国に制裁を加えるのなら、断固として報復する」と強調し、対抗措置を示唆した。

米国などが中国の国家安全省がサイバー攻撃の起点になっていると指摘したことに「安全部門は非常に敏感で、内部を公開して潔白を証明することはできない。米国は中国に泣き寝入りをさせようとしている」と主張した。

中国政府が組織的にハッカーを雇ってサイバー攻撃しているとの分析には「中国の体制では到底実行できないし、動機からしても説明がつかない」と反論した。』

日米欧、中国機関関与のサイバー攻撃を公表

日米欧、中国機関関与のサイバー攻撃を公表
https://www.sankei.com/article/20210719-ADJMUJBJMFJH5CMXWJJ4K3MHZM/

1『【ワシントン=黒瀬悦成】米国と日本、北大西洋条約機構(NATO)、欧州連合(EU)、英国やカナダなど機密情報共有の枠組み「ファイブアイズ」構成国を含む各国は19日、米マイクロソフトの企業向け電子メールソフト「エクスチェンジサーバー」が3月にサイバー攻撃を受け、全世界で被害が続出した問題で、中国情報機関の国家安全省に連なるハッカー集団が実行した可能性が高いと結論付けたと発表した。

NATOが中国のサイバー攻撃に言及するのは初めて。国際社会がこれほどの規模でサイバー空間での中国の無法行為に一斉に声を上げるのは極めて異例だ。

問題のサイバー攻撃は、中国情報機関に支援された中国のハッカー集団「ハフニウム」が実行し、米国だけで計2万以上の金融機関や中小企業、地方自治体などがデータ抜き取りなどの被害を受けたとされる。

各国および機関は、中国による悪質なサイバー攻撃が経済や安全保障への重大な脅威となっているとの立場から、3月のサイバー攻撃を含む中国情報機関主導の違法なサイバー活動に対し懸念を表明した。

同時に各国や機関がサイバー攻撃の脅威やネットワーク防衛に関する情報を共有し、同盟・パートナー諸国との集団的なサイバー対策の強化を目指す構えを打ち出した。

バイデン政権高官は、米国で最近、ランサムウエア(身代金ウイルス)を使って米企業に巨額のカネを要求するサイバー攻撃があったと指摘。企業に数百万ドル(数億円)規模の身代金を要求する事例もあったとしている。米政府は一連の行為について、中国政府に懸念を表明したという。

米政府が独自に発表した勧告では、中国政府系ハッカー集団が米国と同盟諸国を標的にした50以上のサイバー攻撃の手口を暴露し、その対策を解説している。』

米欧日、中国のサイバー攻撃を一斉非難

米欧日、中国のサイバー攻撃を一斉非難 対抗措置辞さず
https://www.nikkei.com/article/DGXZQOGN192JH0Z10C21A7000000/

『【ワシントン=中村亮】米国や欧州、日本の各政府・機関は19日、中国のサイバー攻撃を一斉に非難した。中国政府とつながるハッカーが世界でランサムウエア(身代金要求型ウイルス)などによる攻撃を行い、経済活動の脅威になっているとみなした。バイデン米政権は同盟国とともに中国へ圧力をかけて是正を求める。

日米や英国、オーストラリア、ニュージーランド、カナダ、欧州連合(EU)、北大西洋条約機構(NATO)が中国を非難した。米政府高官は18日、記者団に対し「米国と同盟国、パートナー国は中国に責任を取らせるための追加行動を排除しない」と強調し、対抗措置を講じる構えを見せた。サイバー攻撃に関する懸念を中国政府高官に伝えた。

米ホワイトハウスは19日の声明で、3月に発覚した米マイクロソフトのサーバー向けソフトに対するサイバー攻撃について、中国国家安全省と協力関係にあるハッカーが実行したと断定した。これとは別に米司法省は19日、数年にわたって外国政府などを標的にサイバー攻撃を仕掛けた中国国家安全省の関係者ら4人を起訴したと明らかにした。

米連邦捜査局(FBI)や米国家安全保障局(NSA)は19日、中国のハッカーが利用する約50の手口などを公表し、世界の政府機関や企業に警戒を呼びかけた。

ラーブ英外相は19日、「中国政府は組織的なサイバー攻撃を止めねばならない。そうでなければ、その責任を負うことになる」とコメントした。日本外務省は「自由、公正かつ安全なサイバー空間という民主主義の基盤を揺るがしかねない悪意あるサイバー活動は看過できない」と強調した。EUは中国に対して国際ルールを守るよう要求した。』

米「中国のサイバー攻撃に50の手口」 日欧と包囲網

米「中国のサイバー攻撃に50の手口」 日欧と包囲網
https://www.nikkei.com/article/DGXZQOUC195OC0Z10C21A7000000/

『日米欧などが一斉に中国をサイバー攻撃の攻撃元だと名指しする異例の措置をとった。中国の関与が指摘されるケースが各国で相次ぎ、一国での対応には限界があるからだ。米政府は今回、50程度の具体的な手口を挙げて注意を喚起した。手法は基本的なものが多く、人海戦術も組み合わせて弱点を執拗に攻撃する姿が浮かび上がる。

【関連記事】
・米大統領、中国のハッカー攻撃「調査を継続」
・米欧日、中国のサイバー攻撃を一斉非難 対抗措置辞さず
・中国技術猛追、米の危機感強く 制裁での各国足並み焦点

米国や欧州連合(EU)が今回、特に強調したのが、今年3月に表面化した米マイクロソフトのメールシステム「エクスチェンジサーバー」への攻撃だ。米国は攻撃者が「中国国家安全省と関係がある」と明記した。英国は攻撃の被害を「世界で25万台超のサーバーに影響した」と推定し、中国政府に関連する「ハフニウム」というグループが実行したと名指しした。

少なくとも12カ国で数年にわたりサイバー攻撃を行った中国系ハッカーらを訴追したことや、エボラウイルスワクチンの研究データが奪い取られたことなども明らかにした。

米国が挙げた50程度の具体的な攻撃手法は、いずれも珍しいものではなく突出した技術を使わない。中国は人手をかけて大規模な攻撃を繰り返すことで「成果」を出しているようだ。

例えば、ビジネスに使うソフトウエアや、在宅勤務の拡大などを背景に利用が広がるクラウドサービスなどが対象になっている。中でも、旧バージョンのソフトの弱点を、ソフトの制作者が修正する前に攻撃する「ゼロデイ攻撃」が多い。

マイクロソフトのビジネスソフト「オフィス365(現マイクロソフト365)」の脆弱性などを、プログラミング言語「パイソン」を使って効率的に収集し、攻撃する手法などが紹介されている。システムを補強するために弱点を探す「コバルトストライク」というセキュリティーツールを悪用するケースもある。

攻撃が基礎的な水準だけに、米国が対策として掲げたのも不正アクセスの監視や多要素認証の導入など一般的に推奨されている手法が中心だ。そういったセキュリティー対策さえ徹底していない組織が、中小企業などを中心に、なお多い。

サイバー攻撃はかねて、国の支援を受けた組織的な攻撃が指摘されてきた。目的は様々で、ロシアは政治的かく乱、北朝鮮は暗号資産などの外貨獲得が目立つのに対し、中国は産業情報を奪うケースが多いとされる。

サイバー攻撃分析を手掛けるサイント(東京・港)の岩井博樹社長は「中国は国家戦略としてサイバー攻撃をしている」と分析している。全国人民代表大会の経済政策で重要とされた技術を外国から不正に入手するために攻撃することもあるとの見方だ。

標的とする企業内でのスパイ活動を組み合わせた長期的な攻撃が特徴で、実行は少なくとも30超の民間ハッカー集団に担わせており、詳しい実態は不透明だという。

中国のサイバー攻撃は日米欧のみならず、周辺国の安全保障環境をも揺さぶる。2020年6月には豪政府が、中国の関与が疑われる大規模サイバー攻撃を公表。20年10月にインドの商業都市ムンバイで発生した大規模停電では、中国のコンピューターウイルス攻撃が原因の可能性があると米社は指摘している。

企業の事業拠点や取引先は世界中に広がっており、外国での攻撃でも被害は自国の企業や安全保障に及びかねない。グローバル化が進んだ結果として、サイバーセキュリティーでは各国、地域の連携が不可欠になっている。

(渡辺直樹、サイバーセキュリティーエディター 岩沢明信)

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

青山瑠妙のアバター
青山瑠妙
早稲田大学大学院アジア太平洋研究科 教授

コメントメニュー
ひとこと解説 EU諸国にとってこれまで最大の安全保障上の懸念は常にロシアであり、地理的に離れた中国への脅威認識は相対的に薄かった。このため、アメリカや日本との共同歩調が取れなかったが、ここ数年、EU諸国の間で中国からのサイバー攻撃による被害が相次ぎ、中国への不満が蓄積してきた。今回はアメリカ、EUのみならず、日本、イギリス、オーストラリア、ニュージーランドも加わり、サイバーセキュリティ分野で共通の対中脅威認識が形成されたといえよう。
2021年7月20日 8:12いいね
25

渡部恒雄のアバター
渡部恒雄
笹川平和財団 上席研究員

コメントメニュー
分析・考察 G7サミットに代表される米欧における協議で、安全保障や人権での対中懸念が共有された中で、「サイバー空間から宇宙まで、世界経済及び社会の将来の先端領域が全ての人々の繁栄及び福祉を増進させることを確保するために協働する」とし、ランサムウェアに対する懸念も共有されたが、名指しされた国はロシアだけでした。今回、日米欧が中国を名指しして懸念を共有したことは、記事でも指摘されているように、市民がそれぞれに自衛すべきだという自覚が不可欠だからだと思います。それに加え、民間へのサイバー攻撃であっても、それが国家間の安全保障と密接に関わり、切り離せなくなっているという深刻な状況も反映しているのでしょう。
2021年7月20日 8:55いいね
8

岩間陽子のアバター
岩間陽子
政策研究大学院大学 政策研究科 教授

コメントメニュー
ひとこと解説 今回はマイクロソフトのメールソフトという、世界的に広く使われているものであり、共同歩調が短期間で調整できたのだと思います。同時に、サイバーの問題を、積極的に外交の道具として使っていこうとしているバイデン政権の手法が鮮やかに現れたケースでもあります。今後、情報共有などが西側で進むにあたり、日本も積極的に関与できるよう体制を整える必要があります。また、ロシアが選択的にこの問題での協調を選んでくるのかどうかは、新たな対立の方向性を示唆する材料の一つとなり注目されます。
2021年7月20日 8:53 (2021年7月20日 8:54更新)
いいね
8 』

パスワード6文字、1秒未満で突破

パスワード6文字、1秒未満で突破 メールのファイル
https://www.nikkei.com/article/DGXZQOUC3074Z0Q1A630C2000000/?n_cid=SNSTW001&n_tw=1626062922

 ※ メールの添付ファイルに、「パスワード」を記載して送付するのは、「論外」ということだな…。

 ※ しかし、大体どういうシチュエーションがあるんだ…。

 ※ 「暗号化したファイル」を添付しといて、「その暗号」を教えるとかか…。

 ※ 「Zans!n01」だと、「55日13時間」か…。

 ※ それも、スゲー話しだ…。

 ※ 「失敗ロック方式」は、時にイマイマしいが、有効な方式なわけだ…。

『セキュリティー対策ソフトのデジタルアーツは、メールに添付されたファイルのパスワード解読に関する調査結果を発表した。一般的に利用できるパスワード解読ソフトで様々な文字列を試したところ、英語の小文字6ケタは1秒未満、8ケタでも20秒で突破できたという。同社は「メールの添付ファイルは短時間で解読できる」と警告する。

ウェブサイトのログインなどは、パスワード入力を一定数失敗するとロックされる仕組みが多い。だがメールの添付ファイルは入力を何回でも試すことができるため、通常の解読ソフトで容易に突破されてしまうという。

英語と数字を組み合わせた8ケタでも、例えば小文字の「zansin01」では2分13秒だった。大文字を入れた「Zansin01」では2日と6時間(解読終了までの最長の見込み時間)、さらに記号も組みあわせた「Zans!n01」では55日と13時間(同)に伸びたが、同社は「より高度な解読環境なら数十分の1の時間で解読可能。パスワードでの運用は限界がある」と指摘している。

ファイルにパスワードを設定してメールで送る方法は、ファイル内部のウイルスを検知できなくなるなどセキュリティー上の問題点も多い。平井卓也デジタル改革相が省庁で廃止する方針を打ち出すなど、官民で見直しの動きが進んでいる。』

米企業攻撃のロシア系集団、闇ウェブのサイト消失

米企業攻撃のロシア系集団、闇ウェブのサイト消失
https://www.nikkei.com/article/DGXZQOGN13ES50T10C21A7000000/

『【ニューヨーク=西邨紘子】ロシア系のランサムウエア(身代金要求型ウイルス)集団「ReVil(レビル)」のウェブサイトが、米東部時間13日午前の時点で匿名性の高い闇サイト群「ダークウェブ」から消えていることが分かった。複数の米メディアが報じた。理由は明らかになっていない。

米国では7月初めに米IT(情報技術)企業カセヤがランサムウエア攻撃を受け、取引先などにシステム障害や情報流出などの被害が出た。レビルはこの攻撃を行ったと主張している。レビルがダークウェブ上に設けたウェブサイトは、被害企業との身代金交渉などに使われていたという。米メディアは、サイトが突然消えたことで、レビルの被害企業が、身代金交渉が進められない状況などに直面していると報じた。

バイデン米大統領はロシアのプーチン大統領と9日に電話会談し、ロシア系集団によるランサムウエア攻撃をやめさせるよう対応を求めていた。米紙ニューヨーク・タイムズは、レビルのサイト消失について
 ①バイデン大統領が担当庁にサイトの強制閉鎖など対応を命じた
 ②プーチン大統領が閉鎖させた
 ③政治的な注目を嫌い、レビルが一時的に自主閉鎖したーーという3つの仮説を紹介している。』